セキュリティ診断サービス

  1. HOME
  2. セキュリティ診断サービス
ウェブ脆弱性診断とは
  • ウェブ脆弱性診断とは
  • ペネトレーションテスト(侵入テスト)
bg

ウェブ脆弱性診断とは

ウェブ脆弱性診断では、攻撃者の視点に立ち調査。セキュリティ上の問題点を検査するサービスです。
専門の診断技術者により、どのようなウェブサイトにも柔軟に対応し、精度の高い診断を行います。

ウェブの脆弱性を介した情報漏洩など大きな問題への発生・発展防止、ウェブサイトの機能停止等、あらゆるリスクを低減させるための診断及び提案を行います。
これらのサービスは、インターネット経由により診断を実施します。

ライトプラン

低コスト・短期間で診断

動的ウェブサイトが比較的単純なウェブサイト向けのプラン
脆弱性診断ツールによる診断を中心に行います。診断結果について専門家が精査を行い、現実的なセキュリティリスクを精査いたします。
低コスト・短期間で診断を行いたい場合に適したプランです。

標準価格
700,000円

標準診断
ボリューム

自動診断
10リクエスト
手動診断
5リクエスト
プラットフォーム
3IP
追加料金
(自動診断)
15,000
1リクエスト
追加料金
(手動診断)
30,000
1リクエスト

スタンダードプラン

業務フローに合わせた診断

業務の流れに合わせた診断を行います
脆弱性診断ツールに加えて、ウェブサイトの機能を専門家が把握。そなわっている機能のフローに合わせて診断シナリオを作成いたします。
脆弱性診断ツールでは難しい認証関係の脆弱性や業務フローに穴はないかなど、難易度の高い診断を行います。

標準価格
1,100,000円

標準診断
ボリューム

自動診断
10リクエスト
プラットフォーム
3IP
追加料金
(自動診断)
15,000
1リクエスト
追加料金
(手動診断)
-
700,000円
標準価格
1,100,000円
自動診断
10リクエスト
手動診断
5リクエスト
プラットフォーム
3IP

標準診断
ボリューム

自動診断
10リクエスト
プラットフォーム
3IP
15,000
1リクエスト
追加料金
(自動診断)
15,000
1リクエスト
30,000
1リクエスト
追加料金
(手動診断)
-
+マーク

オプション

別途、以下のような内容も承ります(別費用)

1報告書説明会

専門家から直接説明を受けたい場合、訪問もしくはリモートでのミーティングで内容を解説いたします。
上司や関係各所への説明をご担当者様と一緒に行います。

報告書説明会

2診断結果を受けて指摘箇所の再検

診断結果で指摘を受けた後改修を行い、再度脆弱性が確認されるかどうかをチェックいたします。

診断結果を受けて指摘箇所の再検

3コンサルティング業務

報告を踏まえて今後の方針についてコンサルティングいたします。
どこをどのように修正していくべきか、再構築含めて根本から設計を見直すべきなのかなど、専門家による御社のシステム環境構築を支援いたします。

報告書説明会

業務スタートまでのフロー

お問い合わせ

お問い合わせ

  • サイト入力フォーム、またはお電話にてお問い合わせ
  • 弊社担当スタッフによるMTG日時の調整
downarrow
 
ヒアリング MTG

ヒアリング MTG

  • NDAの締結
  • ご要望内容の確認
  • 費用の確認
downarrow
 
お申込み

お申込み

  • 契約書の締結
downarrow
 
事前調整

事前調整

  • ご要望内容に関する課題の共有化
  • 御社環境の確認
  • 体制のすり合わせ
downarrow
 
脆弱性診断

脆弱性診断

  • プランに基づいた診断
  • 診断結果報告

診断項目

情報取集
ソフトウェア、バージョン、ドメイン、SSL、隠しコンテンツ等
プラットフォーム
OS、ネットワーク、ミドルウェア
認証
認証、アクセスコントロール、権限昇格、ログインバイパス、Fuzzing、ロックアウト、トークン等
セッション
Fixation、CSRF、Cookie、Timeout等
データ検証
SQL、Injection、XXS、XML Injection、LDAP Injection、Xpath Injection、OS Comnmand Injection等
設定
アプリケーション、ウェブサーバ、DB等
エラーハンドリング
Fuzzing

Q&A

  • 登録ぺ―ジなど入力された情報が、引き継がれていくページ
  • ユーザー登録ページのように、1度しかアクセスしないページ
  • ウェブ以外のもの、例えばメール送信などが内包されたページ

は、ライトプランでは難しいです。

最初にシステム環境調査を行います。
脆弱性診断ツールを使うにあたり、各種設定が必要となります。そのため、現行サイトのシステムから見た環境を把握する必要があるため、できる限りシステム環境の情報を提供できるよう社内で調整し、おまとめいただきます。その上ヒアリングによる調査を行います。設定を行います。

診断対象となるウェブサイト(IPアドレス)のサービスそのものの脆弱性はもちろん、通信プロトコル上の脆弱性も調査いたします。
もしすでにOSやソフトウェアなどの脆弱性を把握されている場合、その脆弱性も確認できるかどうか調査いたします。

例えば、クエリーパラメーターやPOSTデータ等入力ポイントを確認し、インジェクション攻撃による脆弱性を調査します。
アクションに反応する応答データ等に関するセキュリティの設定チェックも行います。

診断ツールの結果に関しては精査を行い、誤検知の有無を判断いたします。
環境などによるノイズデータはどうしても発生してしまうため、結果報告書にその内容を含めて取りまとめます。

スタンダードプランの場合、シナリオを作成し⼿動診断を行います。
⾃動診断だけでは難しい認証・認可制御の機能やビジネスロジックの⽋陥などを検出いたします。
また、第三者の視点にたち、出力結果に応じてページの関連性など確認しながら脆弱性を検査していく場合もございます。

報告書

報告書例

報告書例
  • エグゼクティブサマリー
  • 脆弱性結果概要
  • 脆弱性の評価方法
  • 脆弱性または改善を推奨する項目
  • 脆弱性診断の概要
  • 脆弱性検査項目
  • 脆弱性診断の実施環境
  • 診断対象のプラットフォーム
  • 診断対象のURLとIPアドレス
  • 脆弱性診断結果一覧
  • 脆弱性の詳細
  • 情報漏洩

まずはお気軽にご相談ください。

お問い合わせ・ご相談はこちらcontact@bostudio.co.jp

bg

ペネトレーションテストとは

(侵入テスト)

ペネトレーションテストは、「侵入テスト」を意味ます。お客様の承認の元、ハッキング技術やツールを使い、攻撃者の視点からシステムの脆弱性を探り出し、システム全体の観点からサイバー攻撃の耐性がどの程度あるのかをテストするサービスです。

様々な攻撃手法や状況・環境に対応

様々な攻撃手法や
状況・環境に対応

クライアントの状況に合わせたプランを策定

クライアントの状況に
合わせたプランを策定

専門家による高度なアタック

専門家による
高度なアタック

例えば、このようなことを行います

EXAMPLE1

ウェブのデータを
改ざんしてみる

EXAMPLE2

サーバをダウンさせる
アタックを仕掛ける

EXAMPLE3

プログラムを別のプログラムに改ざんし
情報を取得してみる

EXAMPLE4

脆弱性診断で指摘された
箇所から侵入してみる

EXAMPLE5

外部からプログラムを
インストールしてみる

ペネトレーションテストの流れ

STEP01

事前調査

ペネトレーションテストに必要な情報を調査いたします。
ネットワーク・システム・プログラムに関する各種情報を開示いただき、内容によってはミーティングによる直接ヒアリングも行います。

矢印

STEP02

脆弱性調査 約1週間

まずは脆弱性の調査を行います。脆弱性の専門ツールを使用した調査と、専門家による調査を行います。
脅威の要因を発見後、その脆弱性箇所からシステム内部への侵入の要因になるものをピックアップしまとめます。

矢印

STEP03

ペネトレーションテスト 約1週間

実際の侵入テストを行います。
本来外部からアクセスできない内部システムに対して、第三者視点としてハッカーを想定し、様々な攻撃手法を駆使しながら侵入テストを行います。

矢印

STEP04

報告書の作成

診断の結果は、その内容を精査した後、対策案も提案する形で報告書としてまとめ、提出いたします。

ペネトレーションサービスは、150万円~になっております。
お見積り含めてまずはご相談ください。

お問い合わせ・ご相談はこちらcontact@bostudio.co.jp